A día de hoy todos estaréis al tanto de la que se ha montado con la firma de seguridad HBGary, que ha sido atacada por el grupo Anonym0us para dejarla en evidencia antes sus clientes por todo el mundo, ya que se han expuesto contraseñas de todas sus bases de datos.
La parte técnica de cómo se hizo esto es bastante curiosa, todo comenzó por un SQL Injection en una aplicación PHP que usaban como CMS. Esta herramienta la habían creado ellos y… se llevó todo el premio.
Un SQL Injection… pues a por la tabla de los usuarios y contraseñas. Una vez sacadas todas, las passwords estaban en MD5 y sin salting ni política de complejidad, así que se las petaron pronto y consiguieron acceso a la intranet, donde pillaron backups, ficheros y aplicaciones.
Desde dentro del panel se podía, entre otras cosas, resetear la password, así que le resetearon la password del correo a “Gary” y con un poco de ingeniería social y un intercambio de correos de lo más divertido, consiguieron acceso de root a la máquina por SSH para poder terminar el pastel del ataque con una guinda. Por supuesto, los correos sin ningún tipo de firma digital de ninguna clase, solo enviados desde los servidores internos pidiendo abrir puertos y cambiar claves.
En este proceso, la gente de anonym0us dejo claro que HNGary había fallado en:
- Codificación Segura
- Pentesting
- Política de contraseñas
- Autenticación de más de 1 factor
- Política de seguridad en el reseteo de contraseñas (mail)
- Concienciación de sus usuarios
Y les han dejado fatal porque esto es lo que ellos venden. Punto para Anonym0us.
Saludos Malignos!
La parte técnica de cómo se hizo esto es bastante curiosa, todo comenzó por un SQL Injection en una aplicación PHP que usaban como CMS. Esta herramienta la habían creado ellos y… se llevó todo el premio.
Un SQL Injection… pues a por la tabla de los usuarios y contraseñas. Una vez sacadas todas, las passwords estaban en MD5 y sin salting ni política de complejidad, así que se las petaron pronto y consiguieron acceso a la intranet, donde pillaron backups, ficheros y aplicaciones.
Desde dentro del panel se podía, entre otras cosas, resetear la password, así que le resetearon la password del correo a “Gary” y con un poco de ingeniería social y un intercambio de correos de lo más divertido, consiguieron acceso de root a la máquina por SSH para poder terminar el pastel del ataque con una guinda. Por supuesto, los correos sin ningún tipo de firma digital de ninguna clase, solo enviados desde los servidores internos pidiendo abrir puertos y cambiar claves.
En este proceso, la gente de anonym0us dejo claro que HNGary había fallado en:
- Codificación Segura
- Pentesting
- Política de contraseñas
- Autenticación de más de 1 factor
- Política de seguridad en el reseteo de contraseñas (mail)
- Concienciación de sus usuarios
Y les han dejado fatal porque esto es lo que ellos venden. Punto para Anonym0us.
Saludos Malignos!
Eso es una penetración en toda regla, y sin vaselina ni nada :P
ResponderEliminarJoder con lo de Jussi... no entiendo cómo no se le activó ningún flag de warning en la cabeza... ¡lo del nombre de usuario canta bastante! Y lo de la contraseña también tendría que haberle parecido raro :D
ResponderEliminarY dicen tener acceso a partes de Stuxnet...
ResponderEliminarhttp://www.guardian.co.uk/technology/2011/feb/14/anonymous-stuxnet-nuclear-iran
Puntazo para Anonymous
ResponderEliminarGracias por el post.
ResponderEliminarAl dejar el link en el comentario ayer, pensé que caería en saco roto. Me alegra ver que no es así.
Ahora hay que esperar a ver que hace HBGary y/o sus "amigos" de dudosa ética.
Un saludo.
Podrías aprender algo de cómo está escrito el artículo de Ars Technica
ResponderEliminar@anónimo, ójala supiera escribir tan bien como ellos. Por eso lo he linkado, al igual que ha hecho The Register.
ResponderEliminarSolo he intentado que la gente leyera el de Ars Technica. ¿Te ha gustado?
Saludos!
@Anonimo
ResponderEliminarUna de las gracias de este blog es la manera en la que esta escrito... (La misma por la que molan tanto las conferencias de Chema xD....rollo andar por casa pero con todo el conocimiento tecnico de fondo posible.)
Asi que.... Epic Win de Anonym0us , y EpicFail!! xD de Anonimo por ir de pureta..
#BlogTrolling
Mmmmmmmmmm...
ResponderEliminarEs esto lo que se conoce como OWNED?!
:D